Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Arbeitsblätter für die Administratorauthentifizierung und die RBAC-Konfiguration

Beitragende
PDFs

Bevor Sie Login-Konten erstellen und die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) einrichten, sollten Sie Informationen für alle Elemente in den Konfigurationsarbeitsblättern sammeln.

Erstellen oder Ändern von Anmeldekonten

Sie geben diese Werte mit dem security login create Befehl an, wenn Sie Anmeldekonten für den Zugriff auf eine Storage-VM aktivieren. `security login modify`Wenn Sie ändern, wie ein Konto auf eine Storage-VM zugreift, geben Sie mit dem Befehl dieselben Werte an.

Feld

Beschreibung

Ihr Wert

-vserver

Der Name der Storage-VM, auf die das Konto zugreift. Der Standardwert ist der Name der Admin-Storage-VM für das Cluster.

-user-or-group-name

Der Benutzername oder der Gruppenname des Kontos. Wenn Sie einen Gruppennamen angeben, können Sie auf jeden Benutzer in der Gruppe zugreifen. Sie können einem Benutzernamen oder Gruppennamen mehrere Anwendungen zuordnen.

-application

Die Applikation, die für den Zugriff auf die Storage-VM verwendet wird:

  • http

  • ontapi

  • snmp

  • ssh

-authmethod

Die Methode, die zur Authentifizierung des Kontos verwendet wird:

  • cert Für SSL-Zertifikatauthentifizierung

  • domain Für Active Directory-Authentifizierung

  • nsswitch Für LDAP- oder NIS-Authentifizierung

  • password Für die Authentifizierung des Benutzerpassworts

  • publickey Zur Authentifizierung mit öffentlichen Schlüsseln

  • community Für SNMP-Community-Strings

  • usm Für SNMP-Benutzersicherheitsmodell

  • saml Für die SAML-Authentifizierung (Security Assertion Markup Language)

-remote-switch-ipaddress

Die IP-Adresse des Remote-Switch. Bei dem Remote-Switch kann es sich um einen Cluster-Switch-Switch-Health-Monitor (CSHM) oder einen Fibre Channel (FC)-Switch handelt, der von der MetroCluster-Systemzustandsüberwachung (MCC-HM) überwacht wird. Diese Option ist nur anwendbar, wenn die Anwendung ist snmp und die Authentifizierungsmethode ist usm.

-role

Die Zugriffskontrollrolle, die dem Konto zugewiesen ist:

  • Für den Cluster (die Admin-Storage-VM) ist der Standardwert admin .

  • Für eine Datenspeicher-VM ist der Standardwert vsadmin .

-comment

(Optional) Beschreibungstext des Kontos. Sie sollten den Text in doppelte Anführungszeichen (") einschließen.

-is-ns-switch-group

Ob das Konto ein LDAP-Gruppenkonto oder ein NIS-Gruppenkonto ist (yes`oder `no).

-second-authentication-method

Zweite Authentifizierungsmethode bei Multi-Faktor-Authentifizierung:

  • none Wenn Sie die Multifaktor-Authentifizierung nicht verwenden, ist der Standardwert

  • publickey Für die Authentifizierung mit öffentlichen Schlüsseln, wenn das authmethod Passwort oder nsswitch ist

  • password Für die Authentifizierung des Benutzerpassworts, wenn der authmethod Public Key ist

  • nsswitch Zur Authentifizierung des Benutzerpassworts, wenn die authmethod publickey ist

Die Reihenfolge der Authentifizierung ist immer der öffentliche Schlüssel gefolgt vom Passwort.

-is-ldap-fastbind

Beginnend mit ONTAP 9.11.1, wenn auf true gesetzt, aktiviert LDAP fast bind für nswitch Authentifizierung; der Standardwert ist false. Um LDAP fast bind zu verwenden, -authentication-method muss der Wert auf gesetzt nsswitch werden. "Erfahren Sie mehr über LDAP fastbind für nswitch Authentifizierung."

Konfigurieren Sie die Sicherheitsinformationen von Cisco Duo

Sie geben diese Werte mit dem security login duo create Befehl an, wenn Sie die zwei-Faktor-Authentifizierung mit Cisco Duo samt SSH-Anmeldungen für eine Storage VM aktivieren.

Feld

Beschreibung

Ihr Wert

-vserver

Die Speicher-VM (in der ONTAP-CLI als vServer bezeichnet), auf die die Duo-Authentifizierungseinstellungen zutreffen.

-integration-key

Ihr Integrationsschlüssel, den Sie erhalten, wenn Sie Ihre SSH-Anwendung bei Duo registrieren.

-secret-key

Ihr Geheimschlüssel, den Sie erhalten, wenn Sie Ihre SSH-Anwendung bei Duo registrieren.

-api-host

Der API-Hostname, der beim Registrieren Ihrer SSH-Anwendung bei Duo ermittelt wird. Beispiel:

api-<HOSTNAME>.duosecurity.com

-fail-mode

Bei Service- oder Konfigurationsfehlern, die die Duo-Authentifizierung verhindern, schlagen safe secure Sie fehl (Zugriff zulassen) oder (Zugriff verweigern). Der Standardwert ist safe, was bedeutet, dass die Duo-Authentifizierung umgangen wird, wenn sie aufgrund von Fehlern wie dem Duo-API-Server nicht zugänglich ist.

-http-proxy

Verwenden Sie den angegebenen HTTP-Proxy. Wenn der HTTP-Proxy eine Authentifizierung erfordert, geben Sie die Anmeldeinformationen in die Proxy-URL ein. Beispiel:

http-proxy=http://username:password@proxy.example.org:8080

-autopush

Entweder true oder false. Der Standardwert ist false. Wenn true, sendet Duo automatisch eine Push-Login-Anfrage an das Telefon des Benutzers, um zu einem Telefonanruf zurückkehren, wenn Push nicht verfügbar ist. Beachten Sie, dass dadurch die Kenncode-Authentifizierung effektiv deaktiviert wird. Wenn false, wird der Benutzer aufgefordert, eine Authentifizierungsmethode auszuwählen.

Wenn mit konfiguriert autopush = true, empfehlen wir die Einstellung max-prompts = 1.

-max-prompts

Wenn sich ein Benutzer nicht mit einem zweiten Faktor authentifizieren kann, fordert Duo den Benutzer auf, sich erneut zu authentifizieren. Mit dieser Option wird die maximale Anzahl von Eingabeaufforderungen festgelegt, die Duo vor dem verweigern des Zugriffs anzeigt. Muss 1 , , 2 oder sein 3. Der Standardwert ist 1.

Wenn max-prompts = 1 der Benutzer beispielsweise bei der ersten Eingabeaufforderung erfolgreich authentifiziert max-prompts = 2 werden muss, wird er aufgefordert, sich erneut zu authentifizieren, wenn der Benutzer bei der ersten Aufforderung falsche Informationen eingibt.

Wenn mit konfiguriert autopush = true, empfehlen wir die Einstellung max-prompts = 1.

Für die beste Erfahrung, ein Benutzer mit nur publickey Authentifizierung wird immer max-prompts auf eingestellt haben 1.

-enabled

Zwei-Faktor-Authentifizierung für Duo aktivieren. true`Sind standardmäßig auf festgelegt. Wenn diese Option aktiviert ist, wird die Duo-zwei-Faktor-Authentifizierung während der SSH-Anmeldung gemäß den konfigurierten Parametern erzwungen. Wenn Duo deaktiviert ist (gesetzt auf `false), wird die Duo-Authentifizierung ignoriert.

-pushinfo

Diese Option bietet zusätzliche Informationen in der Push-Benachrichtigung, z. B. den Namen der Anwendung oder des Dienstes, auf den zugegriffen wird. Dadurch können Benutzer überprüfen, ob sie sich beim richtigen Dienst anmelden, und erhalten eine zusätzliche Sicherheitsebene.

Definieren benutzerdefinierter Rollen

Sie geben diese Werte mit dem security login role create Befehl an, wenn Sie eine benutzerdefinierte Rolle definieren.

Feld

Beschreibung

Ihr Wert

-vserver

(Optional) der Name der Storage-VM (in der ONTAP-CLI als vServer bezeichnet), die mit der Rolle verknüpft ist.

-role

Der Name der Rolle.

-cmddirname

Der Befehl oder das Befehlsverzeichnis, auf das die Rolle Zugriff erhält. Sie sollten Unterverzeichnisnamen in doppelte Anführungszeichen (") einschließen. "volume snapshot"`Beispiel: . Sie müssen eingeben `DEFAULT, um alle Befehlsverzeichnisse anzugeben.

-access

(Optional) der Zugriffsebene für die Rolle. Für Befehlsverzeichnisse:

  • none (Der Standardwert für benutzerdefinierte Rollen) verweigert den Zugriff auf Befehle im Befehlsverzeichnis

  • readonly Gewährt Zugriff auf die show Befehle im Befehlsverzeichnis und seinen Unterverzeichnissen

  • all Gewährt Zugriff auf alle Befehle im Befehlsverzeichnis und seinen Unterverzeichnissen

Für nonintrinsische Befehle (Befehle, die nicht in create, modify, , delete oder enden show):

  • none (Der Standardwert für benutzerdefinierte Rollen) verweigert den Zugriff auf den Befehl

  • readonly Trifft nicht zu

  • all Gewährt Zugriff auf den Befehl

Um den Zugriff auf intrinsische Befehle zu gewähren oder zu verweigern, müssen Sie das Befehlsverzeichnis angeben.

-query

(Optional) das Abfrageobjekt, das zum Filtern der Zugriffsebene verwendet wird, die in Form einer gültigen Option für den Befehl oder für einen Befehl im Befehlsverzeichnis angegeben ist. Sie sollten das Abfrageobjekt in doppelte Anführungszeichen (") einschließen. Wenn das Befehlsverzeichnis beispielsweise lautet volume, "-aggr aggr0" würde das Abfrageobjekt den Zugriff aggr0 nur für das Aggregat ermöglichen.

Einem Benutzerkonto einen öffentlichen Schlüssel zuordnen

Sie geben diese Werte mit dem security login publickey create Befehl an, wenn Sie einen öffentlichen SSH-Schlüssel mit einem Benutzerkonto verknüpfen.

Feld

Beschreibung

Ihr Wert

-vserver

(Optional) der Name der Speicher-VM, auf die das Konto zugreift.

-username

Der Benutzername des Kontos. Der Standardwert admin , der der Standardname des Clusteradministrators ist.

-index

Die Indexnummer des öffentlichen Schlüssels. Der Standardwert ist 0, wenn der Schlüssel der erste Schlüssel ist, der für das Konto erstellt wird. Andernfalls ist der Standardwert eine mehr als die höchste vorhandene Indexnummer für das Konto.

-publickey

Der öffentliche OpenSSH-Schlüssel. Sie sollten den Schlüssel in doppelte Anführungszeichen (“) setzen.

-role

Die Zugriffskontrollrolle, die dem Konto zugewiesen ist.

-comment

(Optional) Beschreibungstext für den öffentlichen Schlüssel. Sie sollten den Text in doppelte Anführungszeichen (") einschließen.

-x509-certificate

(Optional) ab ONTAP 9.13.1 können Sie die Zuordnung des X.509-Zertifikats zum öffentlichen SSH-Schlüssel verwalten.

Wenn Sie ein X.509-Zertifikat mit dem öffentlichen SSH-Schlüssel verknüpfen, überprüft ONTAP bei der SSH-Anmeldung, ob dieses Zertifikat gültig ist. Wenn sie abgelaufen ist oder widerrufen wurde, ist die Anmeldung nicht zulässig und der zugehörige öffentliche SSH-Schlüssel ist deaktiviert. Mögliche Werte:

  • install: Installieren Sie das angegebene PEM-kodierte X.509-Zertifikat und verknüpfen Sie es mit dem öffentlichen SSH-Schlüssel. Fügen Sie den vollständigen Text für das Zertifikat ein, das Sie installieren möchten.

  • modify: Aktualisieren Sie das vorhandene PEM-kodierte X.509-Zertifikat mit dem angegebenen Zertifikat und verknüpfen Sie es mit dem öffentlichen SSH-Schlüssel. Fügen Sie den vollständigen Text für das neue Zertifikat ein.

  • delete: Entfernen Sie die vorhandene X.509-Zertifikatzuordnung mit dem öffentlichen SSH-Schlüssel.

Konfigurieren Sie die globalen Einstellungen für die dynamische Autorisierung

Ab ONTAP 9.15.1 geben Sie diese Werte mit dem security dynamic-authorization modify Befehl an. Weitere Informationen zur dynamischen Berechtigungskonfiguration finden Sie unter "Dynamische Autorisierung – Übersicht".

Feld

Beschreibung

Ihr Wert

-vserver

Der Name der Storage-VM, für die die Einstellung für die Vertrauensbewertung geändert werden soll. Wenn Sie diesen Parameter nicht angeben, wird die Einstellung auf Cluster-Ebene verwendet.

-state

Der dynamische Autorisierungsmodus. Mögliche Werte:

  • disabled: (Standard) die dynamische Autorisierung ist deaktiviert.

  • visibility: Dieser Modus ist nützlich zum Testen der dynamischen Autorisierung. In diesem Modus wird die Vertrauensbewertung mit jeder eingeschränkten Aktivität überprüft, jedoch nicht erzwungen. Jede Aktivität, die abgelehnt worden wäre oder zusätzlichen Authentifizierungsherausforderungen unterliegen würde, wird jedoch protokolliert.

  • enforced: Für den Einsatz bestimmt, nachdem Sie visibility die Tests mit Mode abgeschlossen haben. In diesem Modus wird die Vertrauensbewertung mit jeder eingeschränkten Aktivität überprüft, und Aktivitätsbeschränkungen werden erzwungen, wenn die Bedingungen für Einschränkungen erfüllt sind. Das Unterdrückungsintervall wird ebenfalls erzwungen, wodurch zusätzliche Authentifizierungsherausforderungen innerhalb des angegebenen Intervalls verhindert werden.

-suppression-interval

Verhindert zusätzliche Authentifizierungsherausforderungen innerhalb des angegebenen Intervalls. Das Intervall ist im ISO-8601-Format und akzeptiert Werte von 1 Minute bis einschließlich 1 Stunde. Bei Einstellung auf 0 wird das Unterdrückungsintervall deaktiviert, und der Benutzer wird immer aufgefordert, eine Authentifizierungsherausforderung zu erstellen, wenn eine solche erforderlich ist.

-lower-challenge-boundary

Die prozentuale Grenze für die Herausforderung der unteren Multi-Faktor-Authentifizierung (MFA). Der gültige Bereich liegt zwischen 0 und 99. Der Wert 100 ist ungültig, da dadurch alle Anfragen abgelehnt werden. Der Standardwert ist 0.

-upper-challenge-boundary

Die obere Grenze für den MFA-Challenge-Prozentsatz. Der gültige Bereich liegt zwischen 0 und 100. Dieser Wert muss gleich oder größer sein als der Wert der unteren Grenze. Ein Wert von 100 bedeutet, dass jede Anfrage entweder abgelehnt wird oder einer zusätzlichen Authentifizierungsherausforderung unterliegt; es gibt keine Anfragen, die ohne eine Herausforderung erlaubt sind. Der Standardwert ist 90.

Installieren Sie ein digitales Zertifikat für einen CA-signierten Server

Sie geben diese Werte mit dem security certificate generate-csr Befehl an, wenn Sie eine digitale Zertifikatsignierungsanforderung (CSR) für die Authentifizierung einer Speicher-VM als SSL-Server generieren.

Feld

Beschreibung

Ihr Wert

-common-name

Der Name des Zertifikats, bei dem es sich um einen vollständig qualifizierten Domänennamen (FQDN) oder einen benutzerdefinierten gemeinsamen Namen handelt.

-size

Die Anzahl der Bits im privaten Schlüssel. Je höher der Wert, desto sicherer ist der Schlüssel. Der Standardwert ist 2048. Mögliche Werte sind 512, , 1024 1536 und 2048.

-country

Das Land der Storage VM in einem zweistelligen Code. Der Standardwert ist US. Eine Liste der Codes finden Sie auf den man-Pages.

-state

Der Status oder die Provinz der Storage-VM

-locality

Die Lokalität der Storage-VM.

-organization

Die Organisation der Storage-VM.

-unit

Die Einheit in der Organisation der Storage-VM.

-email-addr

Die E-Mail-Adresse des Kontaktadministrators für die Storage-VM.

-hash-function

Die kryptografische Hashing-Funktion zum Signieren des Zertifikats. Der Standardwert ist SHA256. Mögliche Werte sind SHA1, SHA256 und MD5.

Sie geben diese Werte mit dem security certificate install Befehl an, wenn Sie ein CA-signiertes digitales Zertifikat zur Authentifizierung des Clusters oder der Speicher-VM als SSL-Server installieren. In der folgenden Tabelle sind nur die Optionen aufgeführt, die für die Kontenkonfiguration relevant sind.

Feld

Beschreibung

Ihr Wert

-vserver

Der Name der Storage-VM, auf der das Zertifikat installiert werden soll.

-type

Der Zertifikatstyp:

  • server Für Serverzertifikate und Zwischenzertifikate

  • client-ca Für das Public Key-Zertifikat der Root-CA des SSL-Clients

  • server-ca Für das Public Key-Zertifikat der Root-CA des SSL-Servers, dessen Client ONTAP ist

  • client Für ein selbstsigniertes oder CA-signiertes digitales Zertifikat und einen privaten Schlüssel für ONTAP als SSL-Client

Konfigurieren Sie den Active Directory-Domänencontroller-Zugriff

Sie geben diese Werte mit dem security login domain-tunnel create Befehl an, wenn Sie bereits einen SMB-Server für eine Datenspeicher-VM konfiguriert haben und Sie die Storage-VM als Gateway oder Tunnel für den Active Directory-Domänencontroller-Zugriff auf das Cluster konfigurieren möchten.

Feld

Beschreibung

Ihr Wert

-vserver

Der Name der Speicher-VM, für die der SMB-Server konfiguriert wurde.

Sie geben diese Werte mit dem vserver active-directory create Befehl an, wenn Sie keinen SMB-Server konfiguriert haben und Sie ein Storage-VM-Computerkonto in der Active Directory-Domäne erstellen möchten.

Feld

Beschreibung

Ihr Wert

-vserver

Der Name der Storage-VM, für die Sie ein Active Directory-Computerkonto erstellen möchten.

-account-name

Der NetBIOS-Name des Computerkontos.

-domain

Der vollständig qualifizierte Domänenname (FQDN).

-ou

Die Organisationseinheit in der Domäne. Der Standardwert ist CN=Computers. ONTAP fügt diesen Wert an den Domänennamen an, um den Distinguished Name von Active Directory zu erzeugen.

Konfigurieren Sie den LDAP- oder NIS-Serverzugriff

Sie geben diese Werte mit dem vserver services name-service ldap client create Befehl an, wenn Sie eine LDAP-Client-Konfiguration für die Storage-VM erstellen.

In der folgenden Tabelle sind nur die Optionen aufgeführt, die für die Account-Konfiguration relevant sind:

Feld

Beschreibung

Ihr Wert

-vserver

Der Name der Storage-VM für die Client-Konfiguration.

-client-config

Der Name der Client-Konfiguration.

-ldap-servers

Eine kommagetrennte Liste von IP-Adressen und Hostnamen für die LDAP-Server, mit denen der Client verbunden ist.

-schema

Das Schema, das der Client zum Erstellen von LDAP-Abfragen verwendet.

-use-start-tls

Ob der Client die Kommunikation mit dem LDAP-Server über Start TLS verschlüsselt (true`oder `false).

Hinweis

Start TLS wird nur für den Zugriff auf Datenspeicher-VMs unterstützt. Es wird für den Zugriff auf Admin-Storage-VMs nicht unterstützt.

Sie geben diese Werte mit dem vserver services name-service ldap create Befehl an, wenn Sie eine LDAP-Client-Konfiguration mit der Speicher-VM verknüpfen.

Feld

Beschreibung

Ihr Wert

-vserver

Der Name der Storage-VM, mit der die Client-Konfiguration verknüpft werden soll.

-client-config

Der Name der Client-Konfiguration.

-client-enabled

Ob die Speicher-VM die LDAP-Client-Konfiguration verwenden kann (true`oder `false).

Sie geben diese Werte mit dem vserver services name-service nis-domain create Befehl an, wenn Sie eine NIS-Domänenkonfiguration auf einer Storage VM erstellen.

Feld

Beschreibung

Ihr Wert

-vserver

Der Name der Storage-VM, auf der die Domänenkonfiguration erstellt werden soll.

-domain

Der Name der Domäne.

-servers

ONTAP 9.0, 9.1: Eine kommagetrennte Liste von IP-Adressen für die NIS-Server, die von der Domänenkonfiguration verwendet werden.

-nis-servers

Eine durch Kommas getrennte Liste von IP-Adressen und Hostnamen für die NIS-Server, die von der Domänenkonfiguration verwendet werden.

Sie geben diese Werte mit dem vserver services name-service ns-switch create Befehl an, wenn Sie die Reihenfolge für die Nachschlagen von Namensdienstquellen angeben.

Feld

Beschreibung

Ihr Wert

-vserver

Der Name der Storage VM, auf der die Look-Up-Reihenfolge des Namensservice konfiguriert werden soll.

-database

Die Namensdienstdatenbank:

  • hosts Für Dateien und DNS-Namensdienste

  • group Für Dateien, LDAP und NIS-Namensservices

  • passwd Für Dateien, LDAP und NIS-Namensservices

  • netgroup Für Dateien, LDAP und NIS-Namensservices

  • namemap Für Dateien und LDAP-Namensdienste

-sources

Die Reihenfolge, in der Sie Namensdienstquellen suchen (in einer kommagetrennten Liste):

  • files

  • dns

  • ldap

  • nis

Konfigurieren Sie den SAML-Zugriff

Ab ONTAP 9.3 geben Sie diese Werte mit dem security saml-sp create Befehl zum Konfigurieren der SAML-Authentifizierung an.

Feld

Beschreibung

Ihr Wert

-idp-uri

Die FTP-Adresse oder HTTP-Adresse des IdP-Hosts (Identity Provider), von dem aus die IdP-Metadaten heruntergeladen werden können.

-sp-host

Der Hostname oder die IP-Adresse des Host des SAML-Service-Providers (ONTAP-System). Standardmäßig wird die IP-Adresse der Cluster-Management-LIF verwendet.

-cert-ca Und -cert-serial, oder -cert-common-name

Die Serverzertifikatdetails des Host des Service-Providers (ONTAP-System). Sie können entweder die Zertifizierungsstelle des Dienstanbieters und die Seriennummer des Zertifikats oder den allgemeinen Serverzertifikats eingeben.

-verify-metadata-server

Ob die Identität des IdP-Metadatenservers validiert werden muss true`oder `false). Es empfiehlt sich, diesen Wert immer auf `true`zu setzen.